Mi az a kiberpusztítási lánc?

2011-ben a Lockheed Martin a kiberbiztonsági iparágra adoptálta a pusztítási lánc nevű katonai koncepciót, és elnevezte azt kiberpusztítási láncnak.A pusztítási lánchoz hasonlóan a kiberpusztítási lánc is azonosítja a támadás szakaszait, és betekintést nyújt a támadók tipikus taktikáiba és technikáiba az egyes szakaszokban.Mindkét modell lineáris, azzal az elvárással, hogy a támadók az egyes szakaszokat egymás után fogják végrehajtani.

A kiberfenyegetettséget okozó szereplők a kiberpusztítási lánc bevezetése óta továbbfejlesztették stratégiájukat, és nem mindig követik a kiberpusztítási lánc minden egyes szakaszát.Ennek megfelelően a biztonsági iparág frissítette a megközelítését, és új modelleket fejlesztett ki.A MITRE ATT&CK-mátrix® a valós támadásokon alapuló taktikák és technikák részletes listáját tartalmazza.Hasonló szakaszokat használ, mint a kiberpusztítási lánc, de nem követi a lineáris sorrendet.

2017-ben Paul Pols a Fox-IT és a Leiden University együttműködésével kifejlesztett egy másik keretrendszert, az egységesített pusztítási láncot, amely egyesíti a MITRE ATT&CK mátrix és a kiberpusztítási lánc elemeit egy 18 fázisból álló modellben.

Biztonsági rés keresése

A kiberpusztítási lánc a kibertámadás fázisainak sorozatát határozza meg azzal a céllal, hogy megértse a kibertámadók gondolkodásmódját, beleértve az indítékaikat, eszközeiket, módszereiket és technikáikat, azt, hogy hogyan hozzák meg döntéseiket, és hogyan kerülik ki a felderítést.A kiberpusztítási lánc működésének megértése segíti a védekezőket abban, hogy a kibertámadásokat már a legkorábbi szakaszukban megállítsák.

A fegyverkezési fázisban a rosszindulatú szereplők a biztonsági rés keresése során feltárt információkat használják fel a kártevő szoftverek létrehozására vagy módosítására, hogy a lehető legjobban kihasználhassák a célszervezet gyengeségeit.

Miután létrehozta egy kártevőt, a kiberbűnözők megpróbálják elindítani a támadásukat.Az egyik leggyakoribb módszer az olyan pszichológiai manipulációs módszerek használata, mint például az adathalászat, amellyel az alkalmazottakat a bejelentkezési hitelesítő adataik átadására próbálják rávenni.A rosszindulatú szereplők úgy is beléphetnek, hogy felhasználják a nyilvános vezeték nélküli kapcsolatot, amely nem túl biztonságos, vagy kihasználják a biztonsági rés keresése során feltárt szoftveres vagy hardveres biztonsági rést.

Miután a kiberfenyegetést jelentő szereplők beszivárogtak a szervezetbe, a hozzáférésüket arra használják, hogy rendszerről rendszerre mozogjanak.A céljuk az, hogy bizalmas adatokat, további biztonsági réseket, rendszergazdai fiókokat vagy e-mail-kiszolgálókat keressenek, amelyek használatával kárt okozhatnak a szervezetben.

A telepítési szakaszban a rosszindulatú szereplők kártevőket telepítenek, amelyek további rendszerek és fiókok vezérlését teszik lehetővé számukra.

Miután a kibertámadók megszerezték az irányítást számos rendszer felett, létrehoznak egy olyan irányítóközpontot, amely lehetővé teszi számukra a távoli üzemeltetést.Ebben a szakaszban maszkolást használnak a nyomaik elfedésére és az észlelés elkerülésére.Szolgáltatásmegtagadási támadásokat is használnak, hogy elvonják a biztonsági szakemberek figyelmét a valódi célkitűzésükről.

Ebben a szakaszban a kiberbűnözők lépéseket hajtanak végre az elsődleges cél elérése érdekében, például ellátásilánc-támadásokat, adatkiszivárgást, adattitkosítást vagy adatmegsemmisítést.

Bár a Lockhead Martin eredeti kiberpusztítási lánca csupán hét lépést tartalmazott, számos kiberbiztonsági szakértő nyolcra bővítette azt, hogy figyelembe vegye azokat a tevékenységeket, amelyeket a rosszindulatú szereplők a támadásból bevételhez jutnak, például zsarolóprogram használatával kifizetést kaphatnak az áldozatuktól, vagy bizalmas adatokat értékesíthetnek a sötét weben.

Annak megértése, hogy a kiberfenyegetések szereplői hogyan tervezik és hajtják végre támadásaikat, segít a kiberbiztonsági szakembereknek megtalálni és csökkenteni a biztonsági réseket az egész szervezetben.Emellett segít azonosítani a kibertámadások korai szakaszaiban a biztonsági sérülésre utaló jeleket.Számos szervezet használja a kiberpusztítási lánc modelljét a biztonsági intézkedések proaktív bevezetésére és az incidensekre való válaszadás irányítására.

Intelligens veszélyforrás-felderítés

A szervezetek kiberfenyegetésekkel szembeni védelmének egyik legfontosabb eszköze az intelligens veszélyforrás-felderítés.A jó intelligens veszélyforrás-felderítési megoldások szintetizálják a szervezet környezetéből származó adatokat, és döntéstámogató elemzéseket biztosítanak, amelyek segítenek a biztonsági szakembereknek a kibertámadások korai észlelésében.

A rosszindulatú szereplők gyakran jelszavak kitalálásával vagy ellopásával szivárognak be a szervezetbe.Miután beléptek, megpróbálják eszkalálni a jogosultságokat, hogy hozzáférjenek a bizalmas adatokhoz és rendszerekhez.Az Identitás- és hozzáférés-kezelés: Ismerje meg, hogyan védi, kezeli és definiálja az IAM a felhasználói szerepköröket és a hozzáférési jogosultságokatIdentitás- és hozzáférés-kezelési megoldások segítenek észlelni azokat a rendellenes tevékenységeket, amelyek arra utalhatnak, hogy egy jogosulatlan felhasználó hozzáférést szerzett.Emellett olyan vezérlőket és biztonsági intézkedéseket is kínálnak, mint például a kétfaktoros hitelesítés, amely megnehezíti, hogy valaki ellopott hitelesítő adatokat használjon a bejelentkezéshez.

Számos szervezet egy biztonsági információ- és eseménykezelési (SIEM)-megoldással előzi meg a legújabb kibertámadásokat.A SIEM-megoldások a szervezet egészéből és a külső forrásokból származó adatokat összesítik, így a biztonsági csapatok kritikus kiberfenyegetéseket tárhatnak fel az osztályozáshoz és a problémák kezeléséhez.Számos SIEM-megoldás automatikusan is reagál bizonyos ismert fenyegetésekre, csökkentve a csapat által kivizsgálandó incidensek számát.

Egy adott szervezet több száz vagy több ezer végpontot is tartalmazhat.A vállalatok által az üzletvitelhez használt kiszolgálók, számítógépek, mobileszközök és az eszközök internetes hálózata (IoT) által használt eszközök magas száma miatt szinte lehetetlen mindet naprakészen tartani.Ezt a rosszindulatú szereplők tudják, ezért számos kibertámadás egy feltört végponttal kezdődik.A Végponti észlelés és reagálás Ismerje meg, hogyan segíti az EDR technológia a szervezeteket a súlyos kibertámadások, például a zsarolóprogramok elleni védekezésben.végpontészlelési és -válaszadási megoldások segítségével a biztonsági csapatok figyelhetik a fenyegetéseket, és gyorsan reagálhatnak, ha biztonsági problémát észlelnek egy eszközzel kapcsolatban.

A Kiterjesztett észlelés és válasz (XDR) További információ arról, hogy a kiterjesztett észlelési és válasz- (XDR-) megoldások hogyan biztosítanak veszélyforrások elleni védelmet, és miként csökkentik a tevékenységprofilok válaszidejét.kiterjesztett észlelési és válaszadási (XDR) megoldások egy lépéssel előrébb járnak a végpontészlelés és a válaszadás terén, egyetlen olyan megoldásként, amely védi a végpontokat, az identitásokat, a felhőalkalmazásokat és az e-maileket.

Nem minden vállalat rendelkezik elérhető belső erőforrásokkal a fenyegetések hatékony észleléséhez és elhárításához.A meglévő biztonsági csapat bővítése érdekében ezek a szervezetek olyan szolgáltatókhoz fordulnak, amelyek Felügyelt észlelés és reagálás Megismerheti a felügyelt észlelést és reagálást (MDR), valamint azt, hogy miként védheti meg szervezetét a kiberfenyegetésektől.felügyelt észlelést és reagálást kínálnak.Ezek a szolgáltatók vállalják a szervezet környezetének figyelését és a fenyegetésekre történő válaszadást.

Bár a kibertpusztítási lánc megértése segíthet a vállalatoknak és a kormányoknak proaktívan felkészülni az összetett, többlépcsős kibertámadásokra, és válaszolni rájuk, ha kizárólag erre támaszkodnak, sebezhetővé tehetik a szervezetet más típusú kibertámadásokkal szemben.A kiberpusztítási lánc néhány gyakori bírálata a következő:

• A kártevő szoftverekre összpontosít.Az eredeti kiberpusztítási lánc keretrendszerét úgy tervezték, hogy észlelje és reagáljon a kártevőkre, de kevésbé hatékony más típusú támadások ellen, mint például egy illetéktelen felhasználó, aki feltört hitelesítő adatokkal fér a rendszerhez.

• Ideális a szegélyhálózat biztonságához.A végpontok védelmére összpontosítva a kiberpusztítási lánc modellje jól működött, amikor egyetlen hálózati szegélyhálózatot kellett védeni.A sok távmunkás, a felhő és a vállalati eszközökhöz hozzáférő eszközök egyre növekvő száma miatt szinte lehetetlen minden végpont biztonsági rését szem előtt tartani.

• Nem alkalmas a belső fenyegetések kezelésére.Azok a belső tagok, akik már hozzáférnek bizonyos rendszerekhez, nehezebben észlelhetők a kiberpusztítási lánc modelljével.Ehelyett a szervezeteknek figyelnie és észlelnie kell a felhasználói tevékenységek változásait.

• Túl lineáris.Bár számos kibertámadás követi a kiberpusztítási lánc nyolc szakaszát, sok olyan is van, amely nem vagy egyetlen műveletben egyesít több lépést.Azok a szervezetek, amelyek túlságosan az egyes szakaszokra összpontosítanak, figyelmen kívül hagyhatják ezeket a kiberfenyegetéseket.

2011 óta, amikor a Lockhead Martin először mutatta be a kiberpusztítási láncot, sok minden változott a technológia és a kiberfenyegetettség terén.A felhőalapú számítástechnika, a mobileszközök és az IoT-eszközök átalakították az emberek munkáját és a vállalatok működését.A kiberfenyegetések szereplői ezekre az új technológiákra saját innovációikkal reagáltak, többek között automatizálással és mesterséges intelligenciával gyorsítják és javítják kibertámadásaikat. A kiberpusztítási lánc remek kiindulási pontot kínál egy olyan proaktív biztonsági stratégia kialakításához, amely figyelembe veszi a kibertámadások szemléletét és célkitűzéseit.A Microsoft Biztonság egy egyesített SecOps-platform Az AI-alapú platformmal egységesítheti a biztonsági műveleteket (SecOps) a megelőzés, az észlelés és a válasz terén.egységes SecOps-platform, amely egyetlen, adaptálható megoldásban egyesíti az XDR-t és az SIEM-et, így a szervezetek olyan többrétegű védelmet fejleszthetnek, amely a kiberpusztítási lánc minden fázisában védelmet nyújt.A szervezetek is igyekeznek felkészülni az új, mesterséges intelligencia által vezérelt kibertámadásokra azáltal, hogy kiberbiztonsági AI-megoldásokba, például a Microsoft Biztonsági Copilot szolgáltatásba fektetnek be.